iSecure logo
Blog

Zbycie / pozyskanie przedsiębiorstwa a obowiązki wynikające z RODO

Wstęp

Zbycie przedsiębiorstwa lub jego części jest powszechną formą transakcji handlowej obejmującą przeniesienie własności przedsiębiorstwa wraz z jego aktywami z jednego podmiotu na drugim. Sam proces sprzedaży przedsiębiorstwa jest skomplikowanym, wielowątkowym procesem prawnym. Niemniej, w niniejszym artykule postaramy się odpowiedzieć na pytanie, w jaki sposób podczas transakcji zbycia przedsiębiorstwa zadbać o przetwarzanie danych osobowych zgodnie z wymogami RODO.

Proces due diligence

Zanim jednak dojdzie do ostatecznej sprzedaży / nabycia przedsiębiorstwa bardzo często mamy do czynienia z tzw. „badaniem due diligence”. Przez due diligence należy rozumieć badanie stanu prawnego przedsiębiorstwa przed jego nabyciem. Podmiot nabywający musi być pewny, że przedsiębiorstwo, które zamierza kupić jest w dobrym stanie finansowym, prawnym i organizacyjnym. Badanie due diligence najczęściej przeprowadzone jest przez specjalistyczne podmioty audytowe na zlecenie nabywającego. Inspektor Ochrony Danych (dalej jako „IOD”) spółki, która jest poddawana audytowi, powinien przeanalizować zakres i celowość udostępnianych danych w ramach due diligence. W większości przypadków audytor wymaga przesłania szeregu dokumentów, w tym dokumentów, sprawozdań finansowych, w których widnieją dane osobowe: klientów, pracowników, współpracowników. Zawsze w takich przypadkach pojawia się słuszne pytanie o zakres udostępnianych danych.

W większości przypadków przed przeprowadzeniem badania due diligience dochodzi do zawarcia umowy pomiędzy audytorem, a audytowanym określającej szczegóły prowadzonych czynności audytowych. W pierwszej kolejności IOD powinien zweryfikować taką umowę w zakresie postanowień dotyczących ochrony danych osobowych. Co do zasady, audytorzy występują w roli oddzielnego administratora danych osobowych.  Wynika to z przyjętego stanowiska przez PUODO w odpowiedzi na pytanie zadane przez Polską Izbę Biegłych Rewidentów (por. https://uodo.gov.pl/pl/225/1248). Organ nadzorczy wyraźnie stwierdził, że firmy audytorskie ze względu na cele przetwarzania oraz obowiązuję ich przepisy prawa występują w roli oddzielnego administratora danych. W związku z powyższym przed badaniem, due diligence nie jest konieczne zawarcie umowy powierzenia przetwarzania danych z firmą audytorską. Niemniej, konieczne jest zweryfikowanie postanowień dotyczących ochrony danych osobowych. Przy badaniach due diligence najważniejsze z perspektywy ochrony danych osobowych jest zwrócenie uwagi na realizacje zasady minimalizacji danych osobowych. Zgodnie z zasadą minimalizacji danych należy przetwarzać wyłącznie te dane osobowe, które rzeczywiście są niezbędne do realizacji celów przetwarzania. Przed rozpoczęciem badania due diligence konieczne wspólne ustalenie z podmiotem audytującym jaki zakres danych osobowych jest niezbędny do przeprowadzenia badania stanu prawnego przedsiębiorstwa. W związku z powyższym rekomendowane jest:

  1. Ustalenie przed rozpoczęciem due diligence zakresu danych osobowych, które są rzeczywiście niezbędne do przeprowadzenia badania. Podmiot audytujący, jak i podmiot udostępniający powinni być w stanie uzasadnić celowość przekazywanych danych.
  2. Tam, gdzie jest to możliwe – udostępniać dokumenty w formie zanonimizowanej lub pseuodonimizowanej.

 Nabycie przedsiębiorstwa – co ze zgodami, obowiązkami informacyjnymi, umowami powierzeniami?

Zgodnie z art. 494 par. 1 kodeksu spółek handlowych spółka przejmująca albo spółka nowo zawiązana wstępuje z dniem połączenia we wszystkie prawa i obowiązki spółki przejmowanej albo spółek łączących się przez zawiązanie nowej spółki. Jest to tzw. sukcesja uniwersalna praw i obowiązków. Te zasady należy również dostosować do kwestii praw i obowiązków związanych z przetwarzaniem danych osobowych. W pierwszej kolejności spółka wstępujące w prawa i obowiązki spółki oddającej, powinna zweryfikować czy procesy i cele przetwarzania danych przez spółkę nabywające będą takie same jak poprzednio. Jeżeli tak, to należy przyjąć, że wyrażone wcześniej zgody i przekazane obowiązki informacyjne zachowują ważność. Nie oznacza to jednak, że osoby fizyczne nie powinny otrzymać żadnego komunikatu. W przypadku nabycia przedsiębiorstwa, nowy podmiot prawny powinien powiadomić podmioty danych o nowym administratorze danych i jego danych kontaktowych. Wyrażone zgody na przetwarzanie danych osobowych pozostaną aktualne. Nie zmienia to jednak faktu, że w ramach wyrażonych zgód, należy poinformować o nowym administratorze danych osobowych i jego danych rejestrowych. Dodatkowo, rekomendowane jest poinformowanie o możliwości wycofania zgody w każdym momencie.

Jeżeli w ramach wyrażonej wcześniej zgody, nowa spółka zamierza realizować inne cele przetwarzania, automatycznie należy będzie pozyskać nową, zaktualizowaną o nowe cele zgodę na przetwarzanie danych osobowych. W przypadku, gdy nowy podmiot zdecyduje o tym, że w niektórych procesach przetwarzania dojdzie do zmiany celu przetwarzania – każda taka zmiana, powinna pociągać za sobą konieczność szczegółowego poinformowania podmiotu danych. Komunikacja o zmianach powinna nastąpić w taki sposób, aby ich odbiorcy mogli się z nią łatwo zapoznać np. poprzez wiadomość mailową, tradycyjną korespondencje, komunikat w aplikacji, okienko pop-up itd.

Ponadto, konieczna jest aktualizacja i zweryfikowanie rejestrów czynności przetwarzania o stare i nowe cele przetwarzania. Jednocześnie, nowy podmiot musi poinformować wszystkie podmioty, z którymi wcześniej zostały zawarte umowy powierzenia o wstąpieniu w prawa i obowiązki zbywcy przedsiębiorstwa. Jeżeli charakter powierzenia nie ulegnie zmianie, umowy powierzenia zachowają aktualność, zgodnie z zasadą sukcesji uniwersalnej.

Pobierz wpis w wersji pdf

Podobne wpisy:

Branża hotelarska – istotne aspekty zgodności z przepisami RODO

Ogólne Rozporządzenie o Ochronie Danych (RODO) wprowadziło szereg obowiązków dla przedsiębiorstw, w tym dla branży hotelarskiej, której działalność opiera się na gromadzeniu, przetwarzaniu i przechowywaniu danych osobowych klientów. Zrozumienie i stosowanie się do tych zasad jest niezbędne, aby zapewnić zgodność z prawem oraz ochronę prywatności gości. W niniejszym artykule postaramy się omówić najważniejsze obowiązki wynikające […]

Formularz kontaktowy – jaka podstawa prawna do udzielenia odpowiedzi?

Możliwość kontaktu to podstawa.   Duża część Spółek udostępnia na swoich stronach internetowych formularze, za pomocą których osoby fizyczne mogą zadawać pytania dotyczące np. oferowanych przez nie produktów czy usług i tematów z nimi związanych. Nawet jeżeli Spółka nie udostępnia takiego formularza, to daje możliwość wysłania takiego zapytania drogą mailową na wskazany przez Spółkę adres […]

RODO krok po kroku – część 3: obowiązek zgłaszania naruszenia danych osobowych

RODO krok po kroku – część 3: obowiązek zgłaszania naruszenia danych osobowych

W trzeciej części cyklu o najważniejszych zmianach wprowadzanych przez RODO/GDPR  przedstawiamy obowiązki zgłaszania naruszeń danych osobowych

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki